作者：王聰彬

網絡安全正站在一次前所未有的隱形危機前。

AI為企業帶來了前所未有的效率與創新紅利，但與此同時，它也被攻擊者大肆利用，制造出規避能力極強、破壞性巨大的零日攻擊，輕松繞過傳統安全防線，直擊企業命脈。Gartner 預測，到2027年，全球約17%的網絡攻擊和數據泄露事件將涉及生成式AI。

隨著技術發展，攻擊者可利用AI技術生成網絡攻擊和網絡釣魚工具，網絡安全將從人人對抗、人機對抗逐漸向基于AI的攻防對抗演化。

然而，這場看不見硝煙的攻防戰，才剛剛開始。

AI智能中樞系統，網絡安全的范式轉移

“未來五年內，我們將見證超級AI黑客的誕生。”張福給出了這樣的斷言，超級AI黑客具備永不疲倦、自我進化、無限并發三大特點。

面對超級AI黑客，人類防御堪稱降維打擊。更何況當前企業安全建設普遍存在短板，即設備離散難協同、防御體系僵化、精銳安全人才匱乏、重復性工作消耗有限資源等。

或許有人認為，增加安全防護產品的種類就能應對威脅，但我們對AI的認知仍如管中窺豹，遠不足應對未來挑戰。

整個安全防御體系將迎來三十年來最大變化，唯有Al才能對抗AI，因為過去的產品是給人用的，未來的產品是給Al用的。

業界看來，AI領域的焦點正從大模型轉向AI智能體（AI Agent）。Gartner最新預測顯示，到2028年，企業軟件中自主型AI的滲透率將從2024年的不足1%飆升至33%；同時，超過15%的日常工作決策將由AI智能體自主執行。

大家普遍認為2025年將是“AI智能體元年”，而在安全領域，引入AI智能體僅僅只是起點，更要向著具備自主決策能力的Agentic AI演進，也就是AI安全智能中樞系統（高階安全智能體）。

“未來企業需要AI安全智能中樞系統高階安全智能體并且圍繞中樞構建新的體系。”張福說道。這一變革將會徹底重塑網絡安全的格局，而我們唯一需要做的，就是徹底抓住這個機會。

高階安全智能體與傳統SIEM、SOC有著本質區別，它摒棄了基于規則和特征庫的被動防御模式，通過持續學習客戶系統行為特征，實現異常活動的自主識別和分級響應。核心優勢在于具備自我進化能力，能夠持續優化決策模型。幾乎可以覆蓋所有安全場景：告警研判、威脅響應、漏洞管理、安全運營等全流程。

“無相”不是輔助，而是主動狩獵的安全中樞

目前安全領域可以看到已有諸多企業將AI能力嵌入到原有產品中，比如微軟、CrowdStrike等，但這僅僅只是利用AI的惡意代碼判斷、知識庫、告警總結、自然語言查詢等多種能力來提升效率。

作為關鍵信息基礎設施安全領域的深耕者，青藤云安全則另辟蹊徑，率先發布業內首個實現從Copilot到Autopilot跨越的Agentic AI“無相”。如果AI智能體是“執行者”，那Agentic AI更像是“指揮官”，具備高度自主性、適應性和主動性，能夠自主制定戰術、靈活應對復雜威脅。

所以相較于微軟Security Copilot等輔助型AI，“無相”是具備自主決策、目標驅動和行動能力的高階安全智能體，通過理解目標、規劃步驟并執行操作來實現任務閉環交互，讓AI從“被動響應”（如回答問題）進化到“主動代理”（如自主完成任務）。

作為融合機器學習、知識圖譜與自動化決策技術的全棧式安全智能體，“無相”能夠端到端處理威脅檢測、影響評估及響應處置全流程工作，并通過持續的自我反思，最終實現真正意義上的"自動駕駛"級別的智能化安全防護。

在系統架構設計層面，“無相”采用了兩大創新性技術方案。首先是采用ReAct框架，該框架基于Act-Observe-Think-Act循環機制，通過實時狀態監控與動態規劃調整，有效解決了傳統安全系統在復雜任務處理中可能因規劃錯誤、工具調用失敗導致任務中斷（如多步驟流程中的某一步驟 API 返回異常）。

其次是基于Plan AI + Action AI結構，通過多Agent分工協作，形成一個“團隊”來進行高效工作；如一個Agent是作為一個分析研判的組織者來進行研判，另一個Agent是作為調查專家來進行工作。從而形成了一個團隊既有“任務”的分工，也有“信息共享”的協作，共同高效的完成研判工作。

“無相”正在掀起一場從碎片化到統一平臺的架構革命：現代企業平均部署數十種安全工具，彼此割裂，數據孤立，告警散亂，導致威脅無法有效關聯與響應。“無相”通過多維數據融合，并在這些看似無關的數據之間建立聯系。同時，將安全防護措施轉化為代碼，無縫集成到DevOps流程中，自動審查配置、生成修復方案，并動態部署防護措施。配合可解釋AI，所有告警都有清晰推理依據，解決傳統“黑盒子”式安全決策的問題，讓運營更透明、響應更高效。

“無相”正在掀起一場從被動防御到主動狩獵的思維轉變：過去安全模型遵循"檢測→告警→響應"，“無相”則采用"預測→狩獵→消滅"模式。防守方被動應對，效率低、代價高。”無相”可以持續自動化地發現和評估企業的數字資產，并自動化地攝取、清洗、關聯和應用威脅情報，將其轉化為實際的防護措施，基于現有情報進行外推，預測潛在的攻擊變種。

無論是管理者（CISO）、高級安全專家，還是一線安全運營人員，都可以基于“無相”完成各自職責的安全管理、威脅分析與應急響應，全面提升企業安全運營能力。

告警太多、溯源太慢、報告太晚，現在統統解決

在AI網絡安全威脅日益復雜的當下，“無相”將成為企業安全防御體系中不可或缺的核心力量。其徹底改變了原有安全運營的工作方式，大幅提升響應效率與準確率，廣泛應用于三大核心場景：告警研判、溯源分析、安全報告。

告警研判：從人工到智能自動的跨越

安全運營人員每天需要處理大量告警，判斷其真實性往往耗費大量精力。以“本地提權”告警為例，“無相”“告警研判”智能體能夠自動監聽告警信息，基于對“本地提權”的深度理解，自主調用各類工具進行多維度調查。通過分析進程權限、父進程信息、后續進程鏈以及程序簽名等關鍵指標，智能體最終判定該告警為誤報。在實際測試中，“告警研判”智能體已實現100%的告警覆蓋率和99.99%的準確率，將人工研判工作量降低95%以上。

當遇到真實威脅時，“告警研判”智能體結合原始告警信息、文件中代碼片段的函數特征、以及Web文件的權限信息，綜合判斷這是一個真實Webshell告警。更重要的是，它能立即啟動深度溯源分析，將原本需要跨部門、運用多種工具、查詢多種數據的協作，從耗時數天的調查工作轉化為自動化任務。

溯源分析：多智能體協同作戰

“無相”通過構建多角色智能體團隊徹底改變了傳統溯源分析，“研判專家”智能體分析Webshell告警基本信息，智能生成調查任務。

每個任務由專門的“安全調查員”智能體負責執行，通過自動調用各類調查工具完成任務。比如當發現Webshell由java進程(12606)寫入后，自動將java進程列為新調查對象，并且調查過程會從一個對象延伸開來。

發現疑似橫向移動的主機10.108.108.23，通過Web訪問日志發現108.23在告警的時間段里大量訪問Webshell文件，這樣就把108.23列為新的調查對象。

最終，所有調查結果由研判專家智能體進行綜合判定，用紅色節點標記出確切的威脅對象。

這種抽絲剝繭式調查有極強的泛化能力，將人工需要數天的工作壓縮到幾十分鐘，效果相當于高級的安全溯源專家的水平。

安全報告：從數據到洞察的智能轉化

復雜的調查結束后，需要人工整理大量線索，面臨信息收集困難、時間壓力大、格式規范復雜等挑戰。“無相”只需一鍵即可生成專業報告，更重要的是能像電影一樣還原攻擊全貌，自動提取關鍵證據，生成攻擊鏈關鍵幀，最終輸出動態攻擊鏈路圖。

“無相”作為企業安全體系的“智能中樞”，能在第一時間感知、應對并解決威脅，為企業創造了一個更具韌性的安全運營體系。

安全分析深度與廣度，雙碾壓人類高級安全專家

青藤的目標非常務實，不做漂亮demo，而是要在真實生產環境中穩定運行。從“無相”項目的持續迭代，到預訓練/后訓練的改進，再到工程基礎設施的完善，張福幾乎每周都能看到令人振奮的進展。

與很多AI應用相比，“無相”無論是實用度還是可靠性都實現了突破：動態圖規劃讓任務執行更加靈活；無限制的任務窗口突破了傳統AI的桎梏；交付結果大幅超越了人，比高級安全專家做的更好。

特別是在多智能體協作領域，當前學術界的研究雖然火熱，但其可靠性遠遠達不到企業級應用的要求。“無相”展現出了人類無法企及的協作能力，它可以同時指揮數百個智能體小弟分工協作，實現實時的信息共享和任務調整，這種效率是任何人類團隊都難以企及的。

然而，"無相"的技術突破僅僅是安全智能化的起點。未來三年，這場變革的深度和廣度可能超出大多數人的想象。一方面每個產品中分散的AI安全功能將逐步整合為統一的智能中樞系統；另一方面，AI自主安全決策的覆蓋范圍將大幅擴展。

這一演進過程中，數據資產與工具鏈的積累將成為關鍵競爭壁壘，因為沒有這些，再先進的算法也只是空中樓閣。青藤云安全依托過去十年的行業積累，恰恰在這些關鍵領域建立了難以復制的優勢，也為AI安全系統的持續進化提供了堅實基礎。

“無相”已至，企業安全正式進入Agentic AI時代。